BIENVENUE. Tour d horizon. Sécurité des actifs informatiques et informationnels. Atelier 3, 1 er octobre 2009

Documents pareils
ISO/CEI 27001:2005 ISMS -Information Security Management System

L informatisation des groupes de médecine de famille

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC)

À titre de professionnel en sécurité informatique, monsieur Clairvoyant intervient à différents niveaux lors de projets en sécurité informatique.

curité des TI : Comment accroître votre niveau de curité

Panorama général des normes et outils d audit. François VERGEZ AFAI

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Politique de sécurité de l information

L innovation technologique au quotidien dans nos bibliothèques

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

Sécurité informatique: introduction

1. La sécurité applicative

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

exemple d examen ITMP.FR

A.E.C. - Gestion des Applications, TI LEA.BW

Politique de sécurité des actifs informationnels

Montrer que la gestion des risques en sécurité de l information est liée au métier

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Sécurité. Tendance technologique

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

L'infonuagique, les opportunités et les risques v.1

JOURNÉE THÉMATIQUE SUR LES RISQUES

CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC

Gestion des incidents

Vers un nouveau modèle de sécurité

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

NEXT GENERATION APPLICATION SECURITY

Table des matières. Partie I CobiT et la gouvernance TI

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

dans un contexte d infogérance J-François MAHE Gie GIPS

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Bilan de la sécurité des actifs informationnels

La gestion des risques en entreprise de nouvelles dimensions

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Excellence. Technicité. Sagesse

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

NEXT GENERATION APPLICATION SECURITY

La révolution de l information

GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Gestion des Incidents SSI

Stratégie nationale en matière de cyber sécurité

Politique Utilisation des actifs informationnels

Menaces du Cyber Espace

Présentation de SOFI 2.0

Plan d intervention d urgence. en cas d attaque contre les systèmes d information. ou de faille technique des systèmes d information.

ITIL V Préparation à la certification ITIL Foundation V3 (2ième édition)

ITIL V Préparation à la certification ITIL Foundation V3 (3ième édition)

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Déterminer quelle somme dépenser en matière de sécurité des TI

Virtualisation et sécurité Retours d expérience

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Catalogue Audit «Test Intrusion»

Pourquoi choisir ESET Business Solutions?

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Sécurité des Postes Clients

THEORIE ET CAS PRATIQUES

DATASET / NETREPORT, propose une offre complète de solutions dans les domaines suivants:

Modèle Cobit

La classification des actifs informationnels au Mouvement Desjardins

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

Management de la sécurité des technologies de l information

LA CONTINUITÉ DES AFFAIRES

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

La sécurité IT - Une précaution vitale pour votre entreprise

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

MANUEL du PROGRAMME DE GESTION DE LA SÛRETÉ

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

Protection pour site web Sucuri d HostPapa

RÈGLEMENT RELATIF À L'UTILISATION DES TECHNOLOGIES DE L INFORMATION

L analyse de risques avec MEHARI

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

Découverte et investigation des menaces avancées PRÉSENTATION

Fiche Technique. Cisco Security Agent

Analyse statique de code dans un cycle de développement Web Retour d'expérience

La Pédagogie au service de la Technologie

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Evoluez au rythme de la technologie

Politique de gestion des risques

HySIO : l infogérance hybride avec le cloud sécurisé

Microsoft IT Operation Consulting

PASSEPORT DE CONSEILS AUX VOYAGEURS. Partir à l étranger avec son téléphone, sa tablette ou son ordinateur portable

du contrôle LOGICIEL de gestion pour système d accès

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Commentaires de l ICÉA à la Commission canadienne de l UNESCO - Suivi de CONFITEA VI page 2

Catalogue «Intégration de solutions»

Transcription:

BIENVENUE Sécurité des actifs informatiques et informationnels Tour d horizon Atelier 3, 1 er octobre 2009

Objectifs Apprendre l état actuel de la sécurité informatique et des actifs informationnels au Québec. Voir la gestion de la sécurité dans votre organisation sous un jour nouveau. Comprendre les jalons requis pour l'améliorer. 2

SOGIQUE Société de gestion informatique Constituée en 1986, à l origine, pour répondre à un besoin de connaissance des avancées technologiques applicables au réseau de la santé et des services sociaux Dans sa forme actuelle depuis 1996 MISSION : À titre de bras opérationnel du MSSS dans le domaine des ressources informationnelles, la mission de SOGIQUE est d assurer le développement et la mise en valeur, à partir des orientations ministérielles, du portefeuille d actifs informationnels d intérêt commun qui lui sont confiés En 2009 290 employés permanents 171 occasionnels et consultants à Québec et à Montréal 3

Plan de la présentation Paysage de la sécurité en 2009 Vers une gestion de la sécurité de l information Processus, mécanismes et outils : Service national de sécurité de l information (SNSI) Centre de sécurité opérationnelle (CSO) Gestion de la continuité événements majeurs Arrivée du RITM RéseauSécurIT Portail en sécurité de l information 4

Le réseau de la santé et des services sociaux c est : MSSS 18 agences 18 technocentres régionaux 294 établissements 1 741 installations 5 10 000 serveurs 270 000 membres 117 000 postes de travail 110 000 boîtes de courriel

Vecteurs des menaces en 2009 Navigation Web (même sur des sites réputés) Polluriels (cartes de vœux, images, PDF, MP3, etc.) Médias amovibles (ex. : clé USB) Failles des systèmes d exploitation Failles du système DNS Trousse d attaques professionnelles Hameçonnage Réseaux de robots (Botnets) Marché pour les vulnérabilités de sécurité Sécurité des machines virtuelles 6

Quelques statistiques : Aux États-Unis Nombre de brèches d information dans le secteur de la santé selon le «Identity Theft Resource Center» 2007 : 64 2008 : 97 2009 :? En Californie, une loi oblige la déclaration des accès non autorisés aux données des patients 823 notifications de janvier à mai 2009 Principaux types d incidents : Vol d ordinateur portable Site Web mal configuré Vol interne Pirates s introduisant dans le réseau Majoritairement pour le vol d identité, mais on commence à voir le vol de services de santé en utilisant l information sur l identité dérobée 7

Risques d incidents RITM (volet santé) Trois grands réseaux Cliniques privées TCR SOGIQUE Technocentre national TCR TCR Infrastructures sécurisées Télétravail Internet (Jungle) GMF Fournisseurs Centres de recherche RISQ Universités 8

Gestion du risque Il n y a pas de sécurité à 100 % : - Gérer le risque est le mieux que l on puisse faire (processus, humain, etc.) - Aucune technologie n est exempte de risques - De plus en plus, la sécurité de l information devient une obligation légale (par exemple : Loi sur la protection des renseignements personnels et les documents électroniques, LSSSS, etc.) 9

Besoins d affaires et sécurité Arrivée des PACS => audit des salles de serveurs Migration MPLS en 2007 => Attestations de conformité aux exigences du CGR en vue de la migration au MPLS Enveloppe de maintien des actifs informationnels Favoriser la sécurité et l accessibilité au réseau La migration au RITM VS Les 15 mesures prioritaires 10

Vers la gestion de la sécurité de l information COSO QUOI Cobit Gouvernance des TI Gouvernance d entreprises CMMI PMBOK Prince2 ISO 27002 Sécurité ISO 27001 ITIL Processus Service ISO9000 COMMENT Source: ISACA, AFAI &H. Ceuleman 2004 11

ISO 27002 Guide des bonnes pratiques Politique globale 5. Politique sécurité Normes / Directives 6. Organisation de la sécurité 7. Catégorisation 11. Contrôle des accès 15. Conformité Procédures Standards 8. Sécurité des ressources humaines 9. Sécurité physique 10. Gestion des communications et des opérations Bonnes pratiques 12. Développement, acquisition et maintenance de systèmes 14. Continuité des affaires 13. Gestion des incidents 12

PDCA «Plan, Do, Check, Act» Planifier Parties intéressées Établir le SGSI Parties intéressées Mettre en œuvre Mettre en oeuvre et exploiter le SGSI Soutenir et améliorer le SGSI Améliorer Exigences reliées à la sécurité de l information 13 Surveillance et revue du SGSI Vérifier Gestion de la sécurité de l information

Planifier 14 Sensibiliser la direction avec la législation Définir la politique de la sécurité de l information Définir la portée, les cibles de l organisation pour le programme Identifier et catégoriser les actifs Identifier les menaces et vulnérabilités des actifs Évaluer les impacts d exploitation de chaque vulnérabilité Identifier l approche à utiliser pour l analyse de risque Appliquer l analyse de risque Définir une méthode pour traiter les risques et déterminer le niveau de risque acceptable Identifier les mécanismes de contrôle actuellement disponibles Proposer des mécanismes de contrôle additionnels Prendre action face à tous les risques (accepter, transférer, diminuer ou éviter)

Mettre en oeuvre Écrire les politiques spécifiques en fonction des actions (standards, procédures, lignes de base et recommandations) Définir les rôles et responsabilités Implanter les mécanismes de contrôle Définir un programme de formation et de sensibilisation Gérer les opérations Gérer les ressources Formuler et implémenter le plan de traitement du risque Prendre action pour les transferts de risques Prendre action pour éviter un risque 15

Surveiller Gérer les incidents (détecter, prévenir et répondre) Maintenir la consistance de la documentation et assurer, en cas de modification, qu il n y a pas détérioration de la sécurité Revoir/refaire la phase «PLAN» en fonction de l évolution et des changements Valider par la réalisation d un test d intrusion interne et externe Assurer une veille technologique 16

Améliorer Implémenter les améliorations identifiées Prendre les actions correctives et préventives appropriées Communiquer les résultats et les actions S assurer que les améliorations atteignent les objectifs visés 17

Mission du Service national de sécurité de l information (SNSI) Le Service national de sécurité de l information (SNSI) a pour mission de supporter les agences régionales de santé et de services sociaux et les établissements de leurs régions respectives dans la mise en oeuvre d un cadre de gestion national de la sécurité de l information Principes directeurs : Inscrire le SNSI dans la structure actuelle de gestion de l informatisation du secteur sociosanitaire S aligner sur les normes et les meilleures pratiques existantes Agir en complémentarité avec l entreprise privée Favoriser le réseautage (ISIQ, CERTAQ, CCRIC, MSG, les RSIN, ASIQ, ASIMM, FIQ) Tabler sur l existant Adapter l offre aux exigences propres au secteur sociosanitaire 18

Les services du SNSI Services d animation et de coordination Table des coordonnateurs régionaux de la sécurité des actifs informationnels (TCRSAI) Aux efforts en sécurité dans le RSSS Diffusion de la stratégie en sécurité de l information Services communs Centre d expertise en sécurité Évaluation de solutions reliées à la gestion de la sécurité Formation technique des intervenants spécialisés Élaboration et évolution des normes et des standards Veille en sécurité de l information Traitement des demandes d exception aux normes et standards en vigueur dans le réseau Services d accompagnement ou à la demande Enquête sur une situation problématique Audit de sécurité (ex. : salle des serveurs) Avis légaux 19

Mission du Centre de sécurité opérationnelle (CSO) Assurer la prévention des risques et l assistance au traitement d'incidents de sécurité Regrouper les activités traditionnelles de sécurité : d un «Security Operational Center - SOC» pour la gestion opérationnelle de la sécurité d un «Center for Emergency Response Team - CERT» pour la réaction aux incidents de sécurité Couvrir les actifs informationnels corporatifs et nationaux Travailler en collaboration avec des partenaires chevronnés : CERTAQ (Entité de sécurité du CSPQ dédiée aux M/O) Forces policières CCRIC (Centre canadien de réponse aux incidents cybernétiques) 20

Le CSO : Volet gestion des incidents Incidents (par grande famille) Disponibilité (ex. : déni de service) Destruction ou modification non autorisée (c.-à-d. intégrité) Bris de confidentialité Codes malicieux Atteinte à la sécurité physique Fonctionnement inadéquat ou constat de situations à risque Usage inapproprié (ex. : contravention à la politique de sécurité) Infraction au Code criminel ou pénal (ex. : vol, vandalisme, etc.) Enquête et sécurisation de la preuve Infraction au Code civil (ex. : espionnage, dommages et intérêts) Ces processus et procédures sont documentés pour les niveaux SOGIQUE, les Agences et les établissements 21

Le CSO : Volet surveillance Surveillance 24/7 et contrôle au niveau du périmètre (la couche de service), de l intranet et des extranets Détection des intrusions avec des sondes réseaux Surveillance des journaux Gestion 3 e niveau des passerelles du filtrage Web et des antipolluriels du RTSS Surveillance de la console d antivirus nationale La vigie des vulnérabilités reliées aux technologies utilisées dans le réseau; émission des avis et des alertes de sécurité pertinents auprès des responsables dans les établissements et organismes 22 Gestion et surveillance de la console de corrélation des évènements

Gestion de la continuité lors d événements majeurs Lors d incidents majeurs, un comité de gestion de crise est mis en place afin de faciliter le suivi des escalades hiérarchiques appropriées Le processus ISO 9001 de SOGIQUE sur la gestion de la continuité événements majeurs est suivi pour coordonner la situation : Valider ou préciser la conformité de l information sur la situation Prendre en charge et coordonner la situation Déclencher les mesures, s il y a lieu, selon ce qui est prescrit ou ce qui est le plus apparenté à la situation en termes de procédure Assigner l événement aux responsables des équipes des services concernés par la situation Documenter tout au long de l événement 23

24

Arrivée du RITM Nouvelles mesures de sécurité positionnées dans la couche d interfonctionnement qui viendront aider à prévenir divers incidents reliés à la sécurité de l information Analyse du comportement réseau/sécurité Détection d intrusions Gestion, analyse et corrélation des journaux de sécurité Une équipe de sécurité du fournisseur dédiée au RITM avec un centre opérationnel de sécurité 24/7 Rehaussement des processus ITIL de SOGIQUE pour intégrer le cadre de gestion du RITM qui est basé sur ISO 20000 (ensemble de 18 processus) 25

RéseauSécurIT Regroupement privilégié des premiers responsables de la sécurité de l'information des grandes entreprises du Québec Nombre des membres est limité à 25 3 rencontres par année sur des thématiques 26 Créé par le Réseau ACTION TI en juin 2004, en collaboration avec l'asimm, le RéseauSécurIT Objectif de créer un forum d'échanges, de réflexions et de concertations afin de mettre en commun les meilleures pratiques et l'expertise de chacun dans le domaine de la sécurité de l'information Échange d information constant entre les chefs de la sécurité Sécurité des courriels Sécurité sur les machines virtuelles Gestion des incidents (confidentialité de l information) Système d incendie pour les salles de serveurs Filtrage Web et antipourriels Authentification des accès externes Catégorisation de l information

Portail en sécurité de l information Un outil accessible et dynamique pour le bénéfice de tout le réseau! https://securite.rtss.qc.ca Visiteurs différents par mois : 206 Pages par mois : 5026 La communauté de pratique permet de : Regrouper l ensemble de l information en matière de sécurité de l information Favoriser les échanges entre les intervenants Favoriser l accessibilité des documents à l intérieur du domaine de confiance du RTSS On retrouve dans le portail : Plus de 350 documents et liens concernant la sécurité de l information L actualité et les nouveautés dans le domaine Les activités, événements et formations Un forum de discussion afin de répondre à toutes vos questions 27

Prix et distinction OCTAS 2009 Portail de la communauté de pratique en sécurité de l information : Où le savoir se partage et se discute Catégorie : Apprentissage en ligne des connaissances 1 à 300 employés 28

L objectif ultime : La prise de maturité en sécurité de l information Source : Cobit 29

Questions et commentaires

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back